南京鐵道職業(yè)技術(shù)學(xué)院 宣 慧

南京工程學(xué)院 陳 行

1 簡介

近年來，隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，計(jì)算機(jī)病毒爆發(fā)的次數(shù)和范圍也逐年快速上升。計(jì)算機(jī)病毒的大量傳播會(huì)造成重大的經(jīng)濟(jì)損失，影響人民群眾的正常生活和社會(huì)穩(wěn)定。防病毒技術(shù)已經(jīng)成為網(wǎng)絡(luò)與信息安全中的一個(gè)重要部分。

傳統(tǒng)殺毒軟件一般是部署在網(wǎng)絡(luò)內(nèi)部的主機(jī)上，是單機(jī)防毒產(chǎn)品。它是在病毒侵入網(wǎng)絡(luò)內(nèi)部后的被動(dòng)防御措施。然而只要網(wǎng)絡(luò)中部分節(jié)點(diǎn)已經(jīng)被病毒感染，就可以將網(wǎng)絡(luò)資源迅速消耗殆盡，最終導(dǎo)致關(guān)鍵服務(wù)器的拒絕服務(wù)。所以，僅僅運(yùn)用殺毒軟件保護(hù)單機(jī)無法保證網(wǎng)咯服務(wù)的正常運(yùn)行。相對于在各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上安裝防病毒產(chǎn)品的傳統(tǒng)方案，在病毒進(jìn)入內(nèi)部網(wǎng)絡(luò)前就阻斷它們才是保護(hù)內(nèi)部網(wǎng)絡(luò)不受病毒侵犯的更有效的辦法。[1]

防毒墻部署在網(wǎng)關(guān)上，對網(wǎng)絡(luò)中正在傳輸?shù)牟《具M(jìn)行檢測和過濾，阻止病毒從外網(wǎng)侵入內(nèi)網(wǎng)。病毒被防毒墻阻擋在內(nèi)網(wǎng)之外，從而降低了內(nèi)網(wǎng)節(jié)點(diǎn)遭受病毒感染的概率，降低網(wǎng)絡(luò)資源的耗費(fèi)，減輕服務(wù)器的負(fù)擔(dān)，提高了網(wǎng)絡(luò)的可用性。

2 病毒檢驗(yàn)方法

病毒檢測的方法有特征匹配法、校驗(yàn)和法、行為監(jiān)測法、虛擬機(jī)技術(shù)和啟發(fā)式殺毒等。這里的特征匹配是指查找病毒特征字段在文本中位置的操作。這里的特征是指定義病毒特征的模式串，文本是指穿越網(wǎng)關(guān)的網(wǎng)絡(luò)報(bào)文數(shù)據(jù)。[2]校驗(yàn)和法是指，當(dāng)系統(tǒng)中的文件被病毒感染后，文件會(huì)發(fā)生變化。針對這種情況，殺毒軟件事先對系統(tǒng)中的關(guān)鍵核心文件作記錄，計(jì)算并記錄下這些文件內(nèi)容的校驗(yàn)和。一旦發(fā)現(xiàn)當(dāng)前文件的檢驗(yàn)和原校驗(yàn)和不一致，就可以認(rèn)定該文件已經(jīng)被病毒感染。行為檢測法關(guān)注于記錄和監(jiān)測病毒特有的行為特征。一旦發(fā)現(xiàn)病毒的行為特征出現(xiàn)，立即報(bào)警。一些會(huì)對自身進(jìn)行加密，還有些病毒在每次感染后都會(huì)變自身的代碼，所以很難找出恒定不變的病毒特征字段。虛擬機(jī)技術(shù)和啟發(fā)式殺毒技術(shù)的思路是，當(dāng)發(fā)現(xiàn)疑似病毒的程序后，啟動(dòng)軟件模擬模塊，讓疑似病毒程序在虛擬模塊中運(yùn)行。經(jīng)過諸如脫殼和反編譯等虛擬分析后，讓疑似病毒程序在虛擬模塊中暴露真實(shí)代碼和行為，再用其他檢測方法識(shí)別其病毒類型。虛擬機(jī)技術(shù)對系統(tǒng)資源要求較高。

3 校園防毒墻的設(shè)計(jì)與實(shí)現(xiàn)

網(wǎng)絡(luò)可能遭到的攻擊行為一般有：病毒傳播、竊聽、報(bào)文篡改、電子欺騙、非授權(quán)訪問等等。網(wǎng)絡(luò)應(yīng)用服務(wù)本身也可能存在安全漏洞，在缺乏完善安全防護(hù)的情況下，受到攻擊后造成服務(wù)拒絕或失效。用戶在瀏覽網(wǎng)頁、接收郵件等過程中，病毒、蠕蟲、木馬等惡意攻擊可能會(huì)隨著網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)傳入內(nèi)網(wǎng)并破壞操作系統(tǒng)。[2]

3.1 防毒墻的技術(shù)方案

防毒墻中的殺毒模塊針對經(jīng)過網(wǎng)關(guān)的網(wǎng)絡(luò)報(bào)文中的計(jì)算機(jī)病毒、蠕蟲和木馬等進(jìn)行分析和查殺。防毒墻中的狀態(tài)檢測模塊利用網(wǎng)絡(luò)協(xié)議中的校驗(yàn)字段和序號(hào)字段等可以發(fā)現(xiàn)數(shù)據(jù)傳輸中的非授權(quán)修改，阻止非法用戶在插入TCP連接會(huì)話過程。殺毒模塊和狀態(tài)檢測模塊可以有效攔截網(wǎng)絡(luò)報(bào)文中的惡意代碼。而防毒墻中的防火墻模塊可以阻止不同網(wǎng)絡(luò)之間的非法連接，特別會(huì)在在邊界過濾出惡意的源IP地址和ICMP報(bào)文，限制echo流量等。為防止地址欺騙，防毒墻通過記錄全局IP地址的應(yīng)用信息，可以對外部IP地址的假冒行為和釣魚網(wǎng)站進(jìn)行識(shí)別和攔截。防毒墻還建立一個(gè)入侵檢測和響應(yīng)模塊來監(jiān)控網(wǎng)絡(luò)狀態(tài)。一旦上述安全防護(hù)措施失效，網(wǎng)絡(luò)遭到入侵，入侵檢測模塊也能根據(jù)網(wǎng)絡(luò)狀態(tài)的變化采取響應(yīng)行動(dòng)，阻止攻擊蔓延，恢復(fù)網(wǎng)絡(luò)狀態(tài)。

3.2 病毒掃描引擎模塊結(jié)構(gòu)

病毒掃描引擎主要包括如下個(gè)3個(gè)模塊：數(shù)據(jù)解析模塊、病毒掃描模塊和特征碼裝載模塊。[2]

數(shù)據(jù)解析模塊接收端口傳來的數(shù)據(jù)包，解析其中的數(shù)據(jù)格式，得到數(shù)據(jù)結(jié)果。數(shù)據(jù)解析步驟一般包括文件類型檢測、解壓縮、脫殼，腳本分析，宏預(yù)處理等。病毒掃描模塊用病毒特征碼掃描經(jīng)過解析的數(shù)據(jù)。根據(jù)病毒特征碼和數(shù)據(jù)的匹配情況，判斷數(shù)據(jù)中是否包含病毒。特征碼裝載模塊則主要負(fù)責(zé)裝載和維護(hù)存儲(chǔ)毒特征碼的病毒庫。

病毒特征碼是指病毒體數(shù)據(jù)中特定位置上的一系列特征字節(jié)，病毒掃描模塊通過檢測這些特征字節(jié)及位置信息來檢驗(yàn)?zāi)硞€(gè)文件是否病毒。病毒特征碼提取的準(zhǔn)確性和及時(shí)性直接決定了反病毒引擎的防毒效率。病毒特征碼的格式一般有：MD5格式、字符串格式、二段校驗(yàn)和格式。[3]

3.3 部署方案

校園網(wǎng)防毒墻部署在校園網(wǎng)網(wǎng)關(guān)上，它能提高網(wǎng)絡(luò)系統(tǒng)的防毒效率，減小網(wǎng)絡(luò)遭到病毒入侵的風(fēng)險(xiǎn)。網(wǎng)關(guān)防毒系統(tǒng)一經(jīng)部署便與局域網(wǎng)內(nèi)部的結(jié)構(gòu)變化基本無關(guān)，能夠一直起到對外部病毒的防范與過濾的作用，從而簡化安全管理，增強(qiáng)整體網(wǎng)絡(luò)安全性。防毒墻放置在校園網(wǎng)核心交換機(jī)的旁路，校園網(wǎng)關(guān)防毒墻部署流程：設(shè)置校園網(wǎng)連接廣域網(wǎng)的接入模式、配置防毒網(wǎng)關(guān)地址、部署DNS服務(wù)器、配置防火墻規(guī)則、配置訪問控制規(guī)則、配置殺毒模塊。

圖1 校園網(wǎng)防毒墻部署圖

4 結(jié)論

防毒墻可以依據(jù)需要，針對不同協(xié)議和應(yīng)用的內(nèi)容進(jìn)行檢查、清除病毒，同時(shí)具有防火墻體功能，不但解決了傳統(tǒng)防火墻性能低下的問題，而且從根本上解決了網(wǎng)絡(luò)安全防護(hù)的問題，并能夠從不同角度上滿足各層次對網(wǎng)絡(luò)安全的需要。[3]